sábado, junio 07, 2014

Black SEO: Viagra y piratería aún campan por España

Ayer leí el post de Security Art Work que hablaba sobre cómo había sitios con Joomla explotados para hacer campañas de Black SEO a favor de las famosas farmacias online de Viagra - Si tu sitio es un Joomla de los afectados, además de limpiar y parchear, acuérdate de poner el plugin de Latch para Joomla del tirón - Del tema del BlackSEO y el Colacking hace tiempo que se habló por aquí, en el artículo de Técnicas de SEO para gente de moral relajada.

Figura 1: Sitios con la cadena "Cheap Viagra" en España

Para saber si tu sitio se ve afectado por estas técnicas, yo escribí un pequeño post largo ha titulado "Jodido por la viagra", donde te invito a que busques en Google o Bing si tu sitio (o el de alguno de tus clientes) sale en los resultados en búsquedas como "cheap viagra" o "cheap adobe" o "cheap cialis" o "cheap Windows", etcétera.  Viendo lo de ayer, busqué algunos de los sitios que aún quedan en España, y salen más de 200.000 enlaces a sitios de la Viagra.

Figura 2: Un anuncio de viagra en la web del Albacete Balompié

Algunos de ellos, tan curiosos como el del Albacete Balompié Club de Fútbol, o sindicatos de estudiantes, páginas de instituciones gubernamentales, etc... Solo echando un vistazo rápido en España.

Figura 3: Un colegio jesuita con anuncio de Viagra

Muchos de ellos hacen cloacking y solo funcionan cuando el USER-AGENT es el bot de Google y otros hacer cloacking y solo funcionan cuando es un enlace que viene con el HTTP Referer de Google, con lo que hay que hacer clic siempre en los resultados de Google para garantizar que vas a ver la pagina que buscas.

Figura 4: Solo muestra la tienda si haces clic en el enlace de Google. Comprueba el Referer

Nosotros en nuestro sistema de pentesting persistente Faast, la búsqueda de Black SEO la realizamos de forma rutinaria, para ello hacemos las búsquedas necesarias para ver si uno de los dominios monitorizados aparece. Con FOCA, uno de los trucos que se explica en el libro de Pentesting con FOCA, es que configures el la búsqueda de Directory Listing añadiendo un patrón que sea "Viagra". Si la web tiene algún referencia a "Viagra" inyectada, entonces lo descubrirá.

Saludos Malignos!

3 comentarios:

Anónimo dijo...

Leyendo la primera frase no la entiendo, respecto al latch.

Si yo puedo modificar el contenido de tu Joomla por una cagada de un plugin o del framework ¿en qué protege latch? Entiendo que latch protege para ataques sobre la cuenta de administración de usuarios, pero pocas veces la gente se cuela por la puerta principal.

Normalmente te hacen una simple inyección de código directamente en la BD y para eso Latch es totalmente inútil, tiene una utilidad bastante limitada y en casos como este yo diría que despreciablem, porque los ataques no se hacen mediante cuenta de administrador.

Es como si cierro la puerta principal con llave, pero dejo ventanas y resto de puertas abiertas de par en par.

Eliot Rocha dijo...

A mi lo que me hace mucho ruido es:

¿Porque Viagra?

La verdad, creo que la cosa se vende sola, al menos en mi pais (México) es bastante simple conseguirla...

Quiza para otros paises sea muy cara, pero no se, me hace ruido que hagas un BlackSEO solo por viagra...

Es como hacer BlackSEO para que la gente se haga una cuenta de GMAIL o Facebook...

Maligno dijo...

@anónimo, lo de Latch es porque una vez que te han owneado se pueden haber llevado las credenciales de los usuarios. En el artículo de Black SEO, una de las cosas que utilizan es símplemente llevarse las passwords con bugs de SQLi y usarlas para dar de alta el contenido de blackSEO. Además, cualquier política de forticación que añada una protección como Latch pondrá las cosas más difíciles. Solo eso.

Saludos!

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares